Олег, Вы сообщите о выходе исправленной версии?
Printable View
Олег, Вы сообщите о выходе исправленной версии?
[quote=Maxim;163817]Олег, Вы сообщите о выходе исправленной версии?[/quote]
Да, конечно. Просто я затягиваю выход обновления пока активно обнаруживаются баги
Олег, возможно ли в xml-логе исследования использовать одинаковый набор полей для разных категорий исследования:process, dll, drivers, services и др.? С тем, чтобы возможно было логи добавлять в базу данных и проводить сравнительный анализ_обработку для различных хостов.
[quote=santy;163828]Олег, возможно ли в xml-логе исследования использовать одинаковый набор полей для разных категорий исследования:process, dll, drivers, services и др.? С тем, чтобы возможно было логи добавлять в базу данных и проводить сравнительный анализ_обработку для различных хостов.[/quote]
А для этого не нужен идентичный набор полей ... файл кстати описывается идентичным набором атрибутов, а таскать поле PID скажем в списке BHO - несерьезно. делается это так:
1. Заводится несколько таблиц - по одной на каждую категорию
2. Заводится таблицы:
2.1 Справочник категория (поля: код, имя категории)
2.2 Справочник параметров (поля: код, имя категории, тип). Ссылочная целостность на таблицу 2.1
2.3 Справочник "параметры категорий" (поля: код категории, код параметра), ссылочная целостность на 2.1 и 2.2
2.4 таблица "исследования". там код исследования, дата исследования, примечания, признаки ...
2.5 заводим хранилище - таблица с полями: код исследования, код категории, код строки, код параметра, значение параметра). Ссылочная целостность на 2.1, 2.2 и 2.4, логический контроль по 2.3. И там храним все, что нужно ....
так что все просто ...
[quote=Зайцев Олег;163824]Да, конечно. Просто я затягиваю выход обновления пока активно обнаруживаются баги[/quote]
А тестеры затягивают тестирование до выхода новой версии. :) По принципу "три бага нашли - ждём новой версии" :biggrin:
Если честно, хочется по скорее исправленный релиз. Не работающая DeleteService - это серьезно для "Помогите".
А АВЗ совместим с 64 битной версией винды?
У меня не устанавливаются драйвера и не включается гвард, не проходит скрипт на поиск руткитов из за ошибки:
"Поиск перехватчиков API, работающих в KernelMode
Ошибка - не найден файл (C:\WINDOWS\system32\ntoskrnl.exe)"
Я не могу проверить, т.к. система 64битная тока дома) стандартный Скрипт на удаление драйверов я выполнял. Может надо найти старую версию? И выполнить в ней? Где то на первых страницах написали что не важна версия. И где мне в случае необходимости скачать старую? В здешних загрузках как я понимаю тока последняя версия.
Заранее благодарен. "Респект и уважуха" за прогу)
[quote=LeeDRuid;163913]А АВЗ совместим с 64 битной версией винды?
[/quote]
нет ;) это указано в справке программы, почитайте на досуге:tongue:
Возможно ли выгружать/удалять что-либо из "Модуля пространства ядра" ?
Иногда,думаю, бывает нужно.
[quote=Surfer;163948]Возможно ли выгружать/удалять что-либо из "Модуля пространства ядра" ?
Иногда,думаю, бывает нужно.[/quote]
Это технически невозможно ... выгрузка некоего модуля ядра, на содаржащего потоки, обрабатывающего какие-то запросы (про перехват и фильтры типа фильтра файловой системы я вооще молчу) приведет к BSOD. Драйвер можно "вежливо попросить" выгрузиться, если он пожелает это сделать - то выгрузится. Это есть в менеджере служб и драйверов.
[quote=Зайцев Олег;163967]Это технически невозможно ... выгрузка некоего модуля ядра, на содаржащего потоки, обрабатывающего какие-то запросы (про перехват и фильтры типа фильтра файловой системы я вооще молчу) приведет к BSOD. Драйвер можно "вежливо попросить" выгрузиться, если он пожелает это сделать - то выгрузится. Это есть в менеджере служб и драйверов.[/quote]
Как раз одна из потенциальных дырок в avz. Это возвращаясь к руткитам. :)
Драйвер isdrv122.sys от последнего IceSword'a применяет несколько руткит-технологий чтобы скрыть присутствие в системе.
Его невидно нигде, кроме "пространства ядра".
Что помешает использовать подобное в реальных зловредах ?
[quote=Surfer;163976]Как раз одна из потенциальных дырок в avz. Это возвращаясь к руткитам. :)
Драйвер isdrv122.sys от последнего IceSword'a применяет несколько руткит-технологий чтобы скрыть присутствие в системе.
Его невидно нигде, кроме "пространства ядра".
Что помешает использовать подобное в реальных зловредах ?[/quote]
Это "проблема" не AVZ. Это особенность ядерной части Windows.
Идеология примерно такая: если модуль не зарегистрировал в системе функции собственной "выгрузки",
значит этого нельзя сделать без последствий для системы.
Другой вопрос - кто и как пользуется этой особенностью..
Тем более, что никто не может лучше автора драйвера знать как правильно выгрузить его "творение".
[QUOTE]Его невидно нигде, кроме "пространства ядра".
Что помешает использовать подобное в реальных зловредах ?[/QUOTE]
А оно уже используется. К примеру в небезызвестном rootkit.agent.ea
Да и не только в нем. Последние версии bulknet'а ведут себя аналогично.
Собственно это был простейший пример, есть ещё более извращённые :)
[quote=Surfer;163976]Как раз одна из потенциальных дырок в avz. Это возвращаясь к руткитам. :)
Драйвер isdrv122.sys от последнего IceSword'a применяет несколько руткит-технологий чтобы скрыть присутствие в системе.
Его невидно нигде, кроме "пространства ядра".
Что помешает использовать подобное в реальных зловредах ?[/quote]
Модуль драйвера, видимый лишь через пространство модулей ядра, нужно удалять через BootCleaner. А что, сейчас нет удобного способа это сделать?
Или речь о том, что нужно не удаление "Насовсем", а какое-то временное переименование?
Если драйвер малвары загружается раньше, чем это делает bootclean драйвер AVZ, то удалить малвару не получится. Вся беда в том, что они и грузятся раньше. Но по словам Олега в закрытой ветке противоядие на подходе.
[quote=Surfer;163976]Как раз одна из потенциальных дырок в avz. Это возвращаясь к руткитам. :)
Драйвер isdrv122.sys от последнего IceSword'a применяет несколько руткит-технологий чтобы скрыть присутствие в системе.
Его невидно нигде, кроме "пространства ядра".
Что помешает использовать подобное в реальных зловредах ?[/quote]
Да? И какие же технологии он применяет для маскировки?:biggrin:
З.Ы. Драйвер этого антируткита не маскируется ни впамяти, ни на диске. Более того - он на диске не существует. И ключи после регистрации и загрузки он удаляет из системного реестра. Применять это малварам не имеет смысла, т.к. после ребута они банально не загрузятся.
что-то потерялось :( Строчка из лога: [url]http://virusinfo.info/showthread.php?t=15676[/url]
[QUOTE]$AVZ0637: "NWLink IPX/SPX/NetBIOS-совместимый транспортный протокол" --> $AVZ0623 C:\WINDOWS\System32\nwprovau.dll[/QUOTE]
[quote=PavelA;164603]что-то потерялось :( Строчка из лога: [URL]http://virusinfo.info/showthread.php?t=15676[/URL][/quote]
Да, это баг. Исправлено.
[url]http://virusinfo.info/showthread.php?t=15723[/url]
C:\WINDOWS\system32\dllcache\winlogon.exe- нет влоге AVZ, но есть в hijackthis